Hände weg vom Weiterleiten-Button?
Dennoch dürften Arbeitgeber in Anbetracht der Gefahren, die eine Weiterleitung von Business E-Mails an private Accounts darstellt, ein besonders großes Interesse an der Vermeidung dieser Praxis haben. Das dürfte selbst dann gelten, wenn alle Seiten eine dienstliche Notwendigkeit in der Weiterleitung von E-Mails sähen. So sind Geschäfts- und Betriebsgeheimnisse auch und besonders dann in Gefahr, wenn ein Mitarbeiter gar nicht in böser Absicht handelt, sondern lediglich fahrlässig mit seiner privaten IT umgeht und diese nicht ausreichend abgesichert hat.
Wenn die europäische Datenschutzgrundverordnung (DSGVO) ab Mai 2018 ihre Wirkung entfaltet, drohen bei Verstößen gegen die darin festgehaltenen Grundsätze der Verarbeitung personenbezogener Daten empfindliche Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des unternehmensweiten Vorjahresgesamtumsatzes. So müssen beispielsweise Melde- und Nachforschungspflichten eingehalten werden. Nicht zuletzt können mit der Aufdeckung von Geschäftsgeheimnissen und Datenschutzverstößen auch erhebliche Image- und Reputationsschäden einhergehen.
Arbeitgeber trägt Verantwortung
Arbeitgeber sind daher auch im Sinne der IT Compliance gut beraten, im Arbeitsvertrag klare Regelungen zur E-Mail-Weiterleitung zu treffen. Denn der Arbeitgeber ist als Verantwortlicher, der personenbezogene Daten verarbeitet, dazu verpflichtet, technisch-organisatorische Maßnahmen für den Schutz dieser Daten zu treffen.
Dabei muss er nicht nur bei der unternehmenseigenen IT (zum Beispiel wenn er Dienstgeräte zur Verfügung stellt) dafür sorgen, dass durchgängig ein der DSGVO genügendes Datenschutzniveau herrscht. Gestattet er seinen Mitarbeitern, geschäftliche E-Mails auch an private Accounts weiterzuleiten, so muss er dafür sorgen, dass die verarbeiteten, personenbezogenen Daten beim Arbeitnehmer ebenfalls angemessen gesichert sind. Im Zweifel muss er die ausreichende Sicherung bei seinen Mitarbeitern auch den Aufsichtsbehörden gegenüber nachweisen können. Dies dürfte jedoch in den meisten Fällen aus Gründen der Privatsphäre und des Datenschutzes kaum zu kontrollieren und damit nicht praktikabel sein.
Die Weiterleitung von Business E-Mails kann auch im Rahmen einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO Bedeutung erlangen. Denn die Weiterleitung an nicht zu kontrollierende, private E-Mail-Accounts muss auch bei der Bewertung des Risikos einer Datenverarbeitung Berücksichtigung finden. Als weitere Folge könnte dann im Rahmen von IT- und Datenschutz-Audits (zum Beispiel nach den ISO-Normen 29100 und 29134) eine Zertifizierung nach den zu Grunde gelegten Maßstäben verwehrt werden.
Es empfiehlt sich daher, entweder Dienstgeräte zur Verfügung zu stellen oder - falls dies nicht in Frage kommt - sicherheitshalber die private Nutzung (auch zu Home-Office-Zwecken) - gänzlich zu untersagen.
Ist Ihr Datenschutz up-to-date?
Eindeutige Regelungen in Arbeitsverträgen, Betriebsvereinbarungen und Unternehmensrichtlinien sind also obligatorisch. Unterstützend sollten außerdem regelmäßige Schulungen und Sensibilisierungen der Arbeitnehmer für die Bereiche IT-Sicherheit und Datenschutz durchgeführt werden.
Durch das Zusammenspiel dieser Maßnahmen lässt sich das Risiko von Rechtsverstößen erheblich verringern - wenn auch nicht gänzlich vermeiden. Daneben existiert ein weiterer positiver Nebeneffekt: Das generelle Schutzniveau von personenbezogenen Daten Dritter (beispielsweise Kunden oder Lieferanten), die durch das Unternehmen verarbeitet werden, wird erhöht. Dies geschähe dann nicht nur durch technisch-organisatorische Maßnahmen (wie der Untersagung der Weiterleitung von E-Mails), sondern auch direkt durch die Arbeitnehmer selbst, die durch ihr Bewusstsein für datenschutzrechtliche Probleme aktiv zur Sicherheit der Daten beitragen können. (fm)
- Bestimmen Sie Metriken
Seien Sie in der Lage, den Erfolg Ihrer Bemühungen zu belegen. Das können Sie nur, wenn Sie Kennzahlen definieren, bevor Sie Ihr Awareness-Programm beginnen. Möglich sind Fragebögen zum Verhalten in bestimmten Situationen oder Phishing-Simulationswerkzeuge, die einen Angriff vor und einen nach den Trainigsmaßnahmen nachstellen. Ebenfalls lassen sich durch Mitarbeiter ausgelöste Incidents zählen - wie versuchte Besuche gesperrter Websites. - Bleiben Sie flexibel
Konzentrieren Sie sich nicht nur auf die Präventionsarbeit. Die Idee der "menschlichen Firewall" ist weit verbreitet, sie kommt aber erst dann zum Einsatz, wenn ein Angriff erfolgt. Warum nicht auch auf "menschliche Sensoren" setzen und bevorstehende Attacken versuchen zu erkennen? Lassen Sie Ihre Angestellten nach Indikatoren Ausschau halten, die einen möglichen Angriff ankündigen. Wenn Phishing-Simulationen stattfinden, sollte man auch darauf achten, wie viele Testteilnehmer den Angriff erkennen und melden. - Lassen Sie Regeln brechen
Wer sich nicht an Security-Regeln hält, kann seine eigene Security-Awareness steigern. Das Unternehmen sollte seinen Mitarbeitern ab und zu - nicht regelmäßig, damit es nicht zur Gewohnheit wird - die Freiheit geben, bestimmte Sicherheitsregeln zu brechen - aber nur solche, die keinen unmittelbaren Schaden anrichten. Nur wenn sie die Regel brechen, können die Mitarbeiter erkennen, was passiert, wenn die Regel gebrochen wird und warum es sie letztlich gibt. In einem Gespräch zwischen IT-Sicherheitsteam und Mitarbeitern lässt sich dann gemeinschaftlich nachvollziehen, welchen Zweck eine bestimmte Richtlinie verfolgt. - Wählen Sie einen neuen Ansatz
Die meisten Awareness-Programme haben nicht dazu geführt, dass die Mitarbeiter ihr Verhalten geändert haben. Das liegt nach Meinung vieler Experten aber daran, dass sie gar nicht darauf ausgelegt waren, das Verhalten zu ändern - sie sollten einfach nur geltende Compliance-Vorgaben erfüllen. Also wurde wenig in diese Trainings investiert - sowohl finanziell als auch inhaltlich. Nur, wer Gehirnschmalz in die inhaltliche Ausgestaltung seiner Securiy-Trainings steckt, kann das Mitareiterverhalten ändern. - Holen Sie sich Unterstützung vom C-Level
Wer die Unterstützung der Entscheiderebene hat, macht seine Security-Trainigs erfolgreicher. Wer ein Awareness-Programm plant, sollte sich zunächst starke Unterstützung von oben holen - und sei es nur mit Worten. Das führt zwangsläufig zu einer größeren Aufmerksamkeit in der Belegschaft, mehr Freiraum in der Ausgestaltung und Unterstützung anderer Abteilungen. - Machen Sie gemeinsame Sache mit anderen Abteilungen
Wenn ein IT-Security-Mitarbeiter ein Awareness-Trainingsprogramm aufsetzt, sollte er neben dem Vorstand auch andere Fachbereiche mit ins Boot holen - Personal, Marketing, Legal, Compliance, Datenschutzbeauftragter und Hausverwaltung. All diese Abteilungen haben ein direktes oder indirektes Interesse an dem Thema Security und können bei der Werbung und der Finanzierung helfen. Außerdem haben sie die Möglichkeit, die Trainings für die Mitarbeiter verpflichtend zu machen. - Seien Sie kreativ
Wer nicht kreativ ist, kann kein gutes Security-Training anbieten. Dazu könnte beispielsweise gehören, im Rahmen einer Firmenfeier im Eingangsbereich des Gebäudes eine Security-Wand aufzubauen, auf der - neben anderen Dingen - zehn gängige Sicherheitsfehler aufgeführt sind. Die Mitarbeiter, die alle zehn Fehler benennen können, nehmen an einer Verlosung teil. - Setzen Sie sinnvolle Zeitfenster
Die meisten Trainingsprogramme laufen über ein Jahr - jeder Monat steht unter einem bestimmten Thema. Besser ist ein 90-Tage-Plan - dadurch werden Inhalte und Ziele jedes Quartal neu auf den Prüfstand gestellt. So sind viele Programme deshalb erfolgreich, weil sie über ein Vierteljahr hinweg jeweils drei Themen parallel behandeln und die Themen dann wieder neu ausgesucht werden. So bleiben Sie auf dem Laufenden. - Wählen Sie einen multimedialen Ansatz
Jeder Mitarbeiter bringt andere Voraussetzungen mit, was IT-Sicherheit angeht. Jede/r möchte anders abgeholt werden. Setzen Sie daher auf verschiedenste Kommunikationskanäle, um für das Thema IT-Sicherheit zu sensibilisieren - beispielsweise über Newsletter, Poster, Spiele, Newsfeeds, Blogs, Phishing-Simulationen etc.